La loi Informatique et Libertés est le texte fondateur de la protection des données personnelles en France. Née d'un scandale retentissant dans les années 1970, elle encadre depuis 1978 l'usage des données personnelles, et a été profondément remaniée pour s'articuler avec le droit européen. D'où vient-elle, à quoi sert-elle, et que prévoit-elle aujourd'hui ? Le point.
Je précise mon rôle : je vulgarise ici un sujet juridique et technique. Pour une question de conformité précise, la CNIL met à disposition de nombreuses ressources, et un avocat spécialisé peut vous accompagner.
À l'origine de la loi, il y a un scandale. En 1974, le journal Le Monde révèle, sous le titre « SAFARI ou la chasse aux Français », un projet gouvernemental nommé SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus). Ce projet visait à interconnecter les fichiers de l'administration à partir d'un identifiant unique, le numéro de sécurité sociale, permettant de rassembler en une seule interrogation toutes les informations détenues sur une personne.
L'émotion fut considérable, ravivée par le souvenir des fichages de la Seconde Guerre mondiale. Le projet fut abandonné, et le gouvernement confia à une commission le soin de proposer un encadrement. Ces travaux aboutirent à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui créa également la première autorité administrative indépendante française : la Commission nationale de l'informatique et des libertés (CNIL).
Son objectif est de protéger les personnes en encadrant le traitement de leurs données à caractère personnel. Son article 1er pose un principe resté célèbre : l'informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés.
Concrètement, elle impose à ceux qui traitent des données personnelles (entreprises, administrations…) un ensemble d'obligations, et reconnaît aux personnes concernées des droits (accès, rectification, effacement, opposition…) sur les informations les concernant.
C'est le point le plus important à actualiser, car la loi de 1978 ne se lit plus seule aujourd'hui. Depuis le Règlement général sur la protection des données (RGPD), règlement européen du 27 avril 2016 applicable depuis le 25 mai 2018, le cadre a été profondément renouvelé et harmonisé à l'échelle de l'Union européenne.
La loi française de 1978 a été adaptée au RGPD par la loi du 20 juin 2018, puis réécrite par une ordonnance du 12 décembre 2018. Aujourd'hui, la protection des données repose sur ce couple : le RGPD (directement applicable) et la loi Informatique et Libertés (qui le complète et l'adapte en droit français).
Ce changement a une conséquence majeure, souvent mal comprise : le régime de déclaration préalable à la CNIL a été quasiment supprimé. Auparavant, de nombreux traitements devaient être déclarés. Désormais, la logique est celle de la responsabilisation (en anglais, accountability) : les organismes doivent eux-mêmes garantir et documenter leur conformité, la CNIL exerçant un contrôle a posteriori et pouvant prononcer des sanctions.
C'est la CNIL qui est l'autorité de contrôle en France. Ses missions principales sont d'informer les personnes sur leurs droits, d'accompagner les organismes dans leur mise en conformité, de contrôler les traitements de données, et de sanctionner les manquements. Avec le RGPD, ses pouvoirs de sanction ont été considérablement renforcés (amendes pouvant atteindre des montants très élevés).
Certaines données font l'objet d'une protection renforcée. Il s'agit notamment des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que des données de santé, des données génétiques ou biométriques, et des données relatives à la vie ou à l'orientation sexuelle.
Leur traitement est interdit par principe, mais ce principe connaît des exceptions encadrées par l'article 9 du RGPD. Le traitement redevient possible, par exemple, avec le consentement explicite de la personne, lorsqu'il est nécessaire au respect d'obligations en droit du travail, pour sauvegarder les intérêts vitaux d'une personne, ou s'il porte sur des données manifestement rendues publiques par l'intéressé.
Pour être licite, un traitement de données doit reposer sur l'une des bases légales prévues par l'article 6 du RGPD. Il en existe principalement six :
Au-delà d'une base légale, le traitement doit aussi respecter des principes généraux : transparence, finalité déterminée, minimisation des données, durée de conservation limitée, et sécurité des données.
La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978), née du scandale du projet SAFARI, a créé la CNIL et posé les fondations de la protection des données en France. Elle se lit aujourd'hui avec le RGPD, applicable depuis mai 2018, qui a renouvelé le cadre : suppression quasi générale des déclarations préalables au profit de la responsabilisation des organismes, renforcement des droits des personnes et des pouvoirs de la CNIL. Les données sensibles sont protégées et leur traitement interdit, sauf exceptions ; tout traitement doit reposer sur une base légale.
La matière étant technique et évolutive, il est conseillé de se référer aux ressources de la CNIL ou de consulter un professionnel pour toute question de conformité. Cet article a une vocation purement informative.